美联邦贸易委员会(FTC)于上周四控告台湾友讯集团(D-Link),称其生产的路由器和网络摄像头存在安全漏洞,用户面临被黑客攻击的风险。 据旧金山联邦法院收到的指控称,D-Link多次未能采取合理的安全措施确保设备安全,其产品存在的漏洞使得黑客可以远程监控用户活动,并进一步实施盗窃等犯罪行为。但FTC在本次诉讼中并没有提供任何关于D-Link设备已被黑客攻陷的事实,只是分析了用户受到上述攻击的可能性。 当然,D-Link正藉此予以反驳。他们否认FTC的所有指控并认为他们毫无依据。 立场强硬的FTC据悉,FTC此举是其致力于物联网(IoT)安全,保护消费者隐私措施的一部分。众所周知,黑客会利用网络设备漏洞,通过劫持设备来打造僵尸网络,对主干网发动大规模DDoS攻击。在去年的9月至10月,Mirai僵尸程序就曾通过感染路由器、摄像头、DVR等设备瘫痪了安全新闻网站KrebsOnSecurity.com,法国网站主机OVH,美国域名服务商Dyn等企业网络。 FTC声称,正是由于他们非常了解这些潜在威胁,才决定起诉D-Link。他们指出,D-Link在此前一直宣传自身产品拥有高安全度且具备“先进的网络安全性能”。但事实上,这些产品存在极易受到攻击的安全漏洞,而这些漏洞本是可以预先修复的。比如其网络摄像头的默认用户名和登录密码都是“guest”,非常容易被猜到。 不仅如此,D-Link也未能及时修补软件中的安全缺陷,遗留了命令注入等漏洞,使得黑客能够远程控制用户设备。 此案中,D-Link被指违反了多项FTC条例,包括涉嫌在设备界面和广告渠道采用虚假的安全性宣传,诱导、欺骗消费者;没有实施必要的防治措施来避免用户遭受一系列已知安全漏洞的攻击等。 目前,FTC还没有明确表示是否会对有类似问题的公司提起诉讼。
职权范围之争不过D-Link似乎并不买账:D-Link拒绝承认FTC的指控,并且表示会“对此采取进一步措施(taking steps to defend the action)”。事实上,不只D-Link,数量众多的物联网设备公司都存在糟糕的安全问题。安全专家一直在建议美国政府出台强硬的行业安全条例来规范厂商的行为。而面对近些年日益严峻的IoT威胁态势,FTC所采取的手段也愈发强硬。在此之前,FTC就曾起诉过华硕和TRENDnet,并最终与华硕达成和解。然而,D-Link针对本次指控的强烈否认却引发了人们另一层面的思考:FTC的监管是否过于宽泛和严格? 部分业内人士对FTC的做法表示了质疑。Errata Security(美国网络安全公司)CEO,Robert Graham认为,“对于FTC而言,无论你是D-Link,微软,还是思科,只要你承诺自身产品的安全性但又没能及时,完整地公布安全漏洞,就会遭到指控。而绝对的安全是不可能的,FTC的标准显然过于霸道了。” 而来自Frankfurt Kurnit Klein&Selz法律事务所的Jeremy Goldman的分析或多或少印证了Robert的观点,“目前美国没有相关法律规定这些网络设备所要具备的最低安全标准是怎样的。FTC此举在向众多物联网设备厂商传递一个强硬信号的同时,也以保护消费者安全的名义尝试建立一些新的标准。”他说,“诉讼的关键在于,FTC要向联邦法院证明D-Link的网络设备已经给消费者造成实质损失,或至少是极可能带来严重后果的。” * 参考来源:NetworkWorld,FB小编cxt编译 |